SlideShare une entreprise Scribd logo

Présentation de Stéphanie Foulgoc

A
AssociationAF

Journée du 30 mars 2018 de l'AAF "Open data et protection des données personnelles : où en sommes-nous ?"

Données & analyses
1  sur  25
Télécharger pour lire hors ligne
24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com RGPD Les nouvelles règles sur les données 30 mars 2018 Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec
 France : loi informatique et libertés du 6 janv. 1978 modifiée en 2004 et en 2016  Union européenne : directive n°95/46/CE (transposée dans chaque Etat membre). Abrogée par le RGPD  Règlement européen général sur la protection des données ou RGPD (2016/679) du 27 avril 2016 • Issu d’actions de lobbying sans précédent pendant 6 ans • 173 considérants, 99 articles • Entrée en vigueur au 25 mai 2018 • Est-ce que ce texte est satisfaisant? © Féral-Schuhl / Sainte-Marie Protection des données personnelles : Etat des lieux de la réglementation
 Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau national : • pour les données biométrique, génétique et les données de santé • pour consultation préalable des autorités de contrôle pour les traitements qui relève d’une mission de service public • pour les pouvoirs des autorités de contrôle • pour le régime des sanctions autre que les amendes administratives • pour la conciliation avec la liberté d’expression et la liberté d’information • sur le NIR • sur les données traitées dans le cadre des relations de travail • sur les personnes soumises à des obligations de secret • sur le traitement des données de mineurs © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
 Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau européen : • Pour l’adoption des codes de conduite • Pour les décisions d’adéquation • Pour le BCR • Pour la coopération entre les autorités de contrôle • Pour l’échange d’information entre les autorités de contrôle • Pour la représentation des personnes devant l’autorité de contrôle • Pour la délivrance des certifications  Constat: – Peu probable que l’objectif d’harmonisation soit atteint – Primauté du droit européen, mais pas d’abrogation automatique du droit national  Complexité de la cohabitation des textes et difficultés d’interprétation. © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
Les principes de la loi de 1978 restent inchangés dans le RGPD  Traitement / Données / Responsable de traitements / Sous-traitant  Information / consentement des intéressés  Finalité licite / pertinence des données collectées  Droit des personnes : accès, rectification, suppression  Durée de conservation  Sécurité des données  Transfert des données à l’étranger
Mais des réalités techniques largement ignorées par le RGPD  Cloud computing ignoré : une gestion du transfert des données hors de l’U.E. comme en 1995…  Relations entre fournisseurs et clients : le sous-traitant est souvent plus puissant que le responsable du traitement  Mythe de l’audit et du contrat et de l’audit dans les rapports responsable de traitements / sous-traitant  Réalité de la sécurité des systèmes d’information
Nouvelles règles  « Accountability » vs « formalités préalables »  Protection des données dès la conception (« privacy by design ») / (« privacy by default »)  La réalisation d’analyses d’impact  La notification des violations de données personnelles à l’autorité de contrôle)  La nomination d’un DPO  Mettre en place et tenir à jour le registre des traitements  Revoir la gestion de ses sous-traitants (fournisseurs)  Sanctions considérablement augmentées (20 millions d’euros ou 4% du Chiffre d’affaires annuel mondial)
Le RGPD : les définitions  Traitement o Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (art. 4.2)  Données à caractère personnel o Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4.1) © Feral-Schuhl / Sainte-Marie Avocats
Le RGPD : champs d’application Les archives privées et publiques directement concernées lorsqu’elles contiennent des données à caractère personnel: Ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité (art. L. 211-1, Code du Patrimoine) © Feral-Schuhl / Sainte-Marie Avocats
Le RGPD : identification des acteurs concernés  Responsable de traitement • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; … (art. 4.7)  Sous-traitant • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les données pour le compte du responsable de traitement (art. 4.8)  Responsables conjoints de traitement • Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement (art. 26.1) © Feral-Schuhl / Sainte-Marie Avocats
Le RGPD : les principes relatifs au traitement  Licéité, loyauté, transparence  Nouvelle notion  limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités  Nouvelle notion  minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
Le RGPD : les principes relatifs au traitement  Exactitude : les données doivent être exactes et, si nécessaire, tenues à jour  Limitation de la durée de conservation : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
Le RGPD : les principes relatifs au traitement  Consentement au traitement  Traitement nécessaire à l’exécution d’un contrat  Traitement nécessaire au respect d’une obligation légale  RGPD et archivage : des objectifs contradictoires © Feral-Schuhl / Sainte-Marie Avocats
Protection des données personnelles & Archives  Archives / Protection des données personnelles : des contradictions apparentes  Articulation par le Code du Patrimoine : Lorsque les archives publiques comportent des données à caractère personnel collectées dans le cadre de traitements régis par la loi n°78- 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces données font l'objet, à l'expiration de la durée prévue au 5°de l'article 6 de ladite loi, d'une sélection pour déterminer les données destinées à être conservées et celles, dépourvues d'utilité administrative ou d'intérêt scientifique, statistique ou historique, destinées à être éliminées (art. L. 212-3).
RGPD & Archives  Dérogations prévues par le RGPD au bénéfice des archives Consacre un article aux archives : art. 89 Vise les traitements « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques » • Prévoir des garanties appropriées des droits et libertés de la personne concernée • Possibles dérogations à l’exercice des droits des personnes dans le droit de l’UE ou droit des EM © Feral-Schuhl / Sainte-Marie Avocats 1 2
RGPD & Archives  Soumission des traitements à des garanties appropriées pour les droits et libertés de la personne concernée  Comment ? Mise en place de mesures techniques et organisationnelles : • Pour assurer la minimisation • Peuvent comprendre la pseudonymisation, dans la mesure où les finalités du traitement peuvent être atteintes de cette manière. © Feral-Schuhl / Sainte-Marie Avocats 1
RGPD & Archives  Dérogations possibles aux droits des personnes à prévoir dans le droit de l’UE ou droit national : • Pour traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), opposition (art. 21) • Pour traitement de données à des fins archivistiques dans l’intérêt public : o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), droit de notification (art. 19), droit d’opposition (art. 21) et droit à la portabilité (art. 20) © Feral-Schuhl / Sainte-Marie Avocats 2
RGPD & Archives  Autres dérogations :  Autorisation des traitements sur des catégories particulières de données personnelles (art. 9, j)  Droit à l’information (art. 14)  Droit à l’oubli (art. 17)  Archives dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques  sous réserve des conditions et garanties visées à l'article 89 © Feral-Schuhl / Sainte-Marie Avocats
RGPD & Archives  Une articulation incomplète • Archives visées par les dérogations (ie archives dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ) : o Quid du consentement ? Le traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ? (art. 6) o Anonymisation ? Pseudonymisation ? • Archives publiques non visées  soumission totale au RGPD • Archives privées non visées soumission totale au RGPD © Feral-Schuhl / Sainte-Marie Avocats
 Projet de loi relatif à la protection des données personnelles – décembre 2017 • Adopté par l’Assemblée nationale : 13 février 2018 • Adopté par le Sénat : 21 mars 2018  Lecture et articulation très complexe  Article 12 modifie l’article 36 de la loi Informatique et Libertés © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
 Article 12 du projet de loi • Traitements de données à caractère personnel mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du Code du patrimoine • Les droits d’accès, de rectification, à la limitation, à la portabilité, d’opposition ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. • Les conditions et garanties appropriées sont déterminées par le Code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique. © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
De nouvelles exigences applicables aux archives privées et publiques :  Sécurité des données  Responsabilisation des acteurs (Abandon des formalités, jugées inefficaces) • Principe « d’accountability » : mesures appropriées et effectives + être à même de démontrer la conformité des activités de traitement avec le RGPD, y compris l’efficacité des mesures (Consid. 74) • Registre des activités de traitements : obligatoire sauf entreprise de moins de 250 salariés, sauf traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées ou portant sur données sensibles ou relatives à condamnations pénales / infractions (art. 30) • Privacy by Design / PIA © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
 Relations responsable de traitement / sous-traitant • sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir le respect du RGPD • sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. • contrat avec le sous-traitant doit prévoir un certain nombre d’engagements : agir sur instruction documentée, respect de la confidentialité, droit d’audit du responsable de traitement o code de conduite approuvé ou mécanisme de certification approuvé = élément pour démontrer l'existence des garanties suffisantes o contraintes qui s’ajoutent aux exigences du Code du patrimoine (R.212-19 s.) © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
 Désigner le sponsor interne  Dresser la cartographie des traitements  Prioriser les actions de mises à jour : durées de conservation, anonymisation, données sensibles, transferts hors U.E.  Mettre à plat les rapports avec les sous-traitants  Définir les prérequis « privacy by design »  Définir les processus internes pour : la gestion de la confidentialité, la gestion des droits des personnes concernées, la gestion des violations de données  Tenir à jour le registre  Suivre les recommandations de la CNIL à venir © Féral-Schuhl / Sainte-Marie Plan d’action
24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec Feral-Schuhl / Sainte-Marie

Recommandé

Présentation d'Opendata France - JM Bourgogne
Présentation d'Opendata France - JM BourgognePrésentation d'Opendata France - JM Bourgogne
Présentation d'Opendata France - JM BourgogneAssociationAF
 
Présentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerPrésentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerAssociationAF
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
La Loi République Numérique et les principaux décrets liés à l'Open Data
La Loi République Numérique et les principaux décrets liés à l'Open Data La Loi République Numérique et les principaux décrets liés à l'Open Data
La Loi République Numérique et les principaux décrets liés à l'Open Data OpenPaca
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 

Recommandé

Présentation d'Opendata France - JM Bourgogne
Présentation d'Opendata France - JM BourgognePrésentation d'Opendata France - JM Bourgogne
Présentation d'Opendata France - JM BourgogneAssociationAF
 
Présentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerPrésentation de Jean-Daniel Zeller
Présentation de Jean-Daniel ZellerAssociationAF
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Gdpr presentation
Gdpr presentationGdpr presentation
Gdpr presentationGaetan Karre
 
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...
Workshop NP6 et Bird&Bird : RGPD c’est maintenant ! Tout ce qu'il faut savoir...NP6
 
Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Directive GPDR/RGPD du 28/11/2017
Directive GPDR/RGPD du 28/11/2017Zyxel France
 
La Loi République Numérique et les principaux décrets liés à l'Open Data
La Loi République Numérique et les principaux décrets liés à l'Open Data La Loi République Numérique et les principaux décrets liés à l'Open Data
La Loi République Numérique et les principaux décrets liés à l'Open Data OpenPaca
 
Présentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesPrésentation RGPD règlement européen sur la protection des données personnelles
Présentation RGPD règlement européen sur la protection des données personnellesMarseille Innovation
 
Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNILFrenchTechCentral
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPRLa Libre Network
 
Mairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesMairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesPierreDesmarais6
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéPierreDesmarais6
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique FrenchTechCentral
 
Présentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériquePrésentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériqueInno³
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loiSociété Tripalio
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
Libre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelLibre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelSociété Tripalio
 
Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspectsBMMA - Belgian Management and Marketing Association
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018African Cyber Security Summit
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 

Contenu connexe

Tendances

Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Philippe Mignen
 
Mairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesMairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesPierreDesmarais6
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SAMuriel Adamski
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéPierreDesmarais6
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)AT Internet
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique FrenchTechCentral
 
Présentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériquePrésentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériqueInno³
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loiSociété Tripalio
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingLuc-Marie AUGAGNEUR
 
Libre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelLibre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelSociété Tripalio
 

Tendances (12)

Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !Protection des données personnelles - Sia Partners vous accompagne !
Protection des données personnelles - Sia Partners vous accompagne !
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
Slides GDPR
Slides GDPRSlides GDPR
Slides GDPR
 
Mairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnellesMairie, IoT et protection des données personnelles
Mairie, IoT et protection des données personnelles
 
Solutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SASolutions GDPR 2017 par Rever SA
Solutions GDPR 2017 par Rever SA
 
RGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunitéRGPD et e-santé: transformer les obligations en opportunité
RGPD et e-santé: transformer les obligations en opportunité
 
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
[DAF 2017] RGPD 2018 : Êtes-vous prêt ? par Ludivine Lille (EY)
 
Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique Évolutions à l'international & cadre juridique
Évolutions à l'international & cadre juridique
 
Présentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numériquePrésentation Etalab - Loi pour une République numérique
Présentation Etalab - Loi pour une République numérique
 
Protection des données personnelles : projet de loi
Protection des données personnelles : projet de loiProtection des données personnelles : projet de loi
Protection des données personnelles : projet de loi
 
Adetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketingAdetem 15 sept 2017 rgpd et marketing
Adetem 15 sept 2017 rgpd et marketing
 
Libre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnelLibre circulation des données à caractère non personnel
Libre circulation des données à caractère non personnel
 

Similaire à Présentation de Stéphanie Foulgoc

Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielPierre MASSOT
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Johan-André Jeanville
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...Lexing - Belgium
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekPascal ALIX
 
protection des données
protection des donnéesprotection des données
protection des donnéesSabriElBeya
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903Herve Blanc
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra PartnersJedha Bootcamp
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDpolenumerique33
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxMichael DI ROCCO
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...COMPETITIC
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaJean-Michel Tyszka
 
droit.ppt
droit.pptdroit.ppt
droit.pptYnesZid
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Hapsis
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...CEEDFormation
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?fourniermartine
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...ASIP Santé
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18Cap'Com
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Geeks Anonymes
 

Similaire à Présentation de Stéphanie Foulgoc (20)

Protection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentielProtection des données personnelles - RGPD - l'essentiel
Protection des données personnelles - RGPD - l'essentiel
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...earlegal #4 - La protection des données à caractère personnel au sein des a...
earlegal #4 - La protection des données à caractère personnel au sein des a...
 
Le partenariat Virtualegis Nystek
Le partenariat Virtualegis NystekLe partenariat Virtualegis Nystek
Le partenariat Virtualegis Nystek
 
protection des données
protection des donnéesprotection des données
protection des données
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPDFiche pratique CCI France Règlement Général sur la Protection des Données RGPD
Fiche pratique CCI France Règlement Général sur la Protection des Données RGPD
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...Competitic gestion des données personnelles et obligations - numerique en e...
Competitic gestion des données personnelles et obligations - numerique en e...
 
Le GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - DiaporamaLe GDPR (General Data Protection Regulation) - Diaporama
Le GDPR (General Data Protection Regulation) - Diaporama
 
droit.ppt
droit.pptdroit.ppt
droit.ppt
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
Données de santé & RGPD (Règlement Général sur la Protection des Données Per...
 
Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?Etes-vous Gdpr compliant?
Etes-vous Gdpr compliant?
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
AT15 - RGPD : il n'est pas trop tard pour comprendre et agir_#capcom18
 
Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur Sécurité, GDPR : vos données ont de la valeur
Sécurité, GDPR : vos données ont de la valeur
 

Plus de AssociationAF

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsAssociationAF
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfAssociationAF
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdfAssociationAF
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerAssociationAF
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueAssociationAF
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeAssociationAF
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptxAssociationAF
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELAssociationAF
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansAssociationAF
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24AssociationAF
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pasAssociationAF
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.pptAssociationAF
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleAssociationAF
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptxAssociationAF
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfAssociationAF
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfAssociationAF
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfAssociationAF
 

Plus de AssociationAF (20)

RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
RASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - SupportsRASAD du 9 et 10 mars 2023 Nancy - Supports
RASAD du 9 et 10 mars 2023 Nancy - Supports
 
Presentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdfPresentation_RASAD_AMICHI_V1_20230126.pdf
Presentation_RASAD_AMICHI_V1_20230126.pdf
 
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf20231019.1.2_TransitionDroitsCulturels_Conference.pdf
20231019.1.2_TransitionDroitsCulturels_Conference.pdf
 
Les archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformerLes archives de AIDES militer agir transformer
Les archives de AIDES militer agir transformer
 
Chacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloqueChacun cherche son SAE table ronde colloque
Chacun cherche son SAE table ronde colloque
 
Quand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table rondeQuand sobriété rencontre archives table ronde
Quand sobriété rencontre archives table ronde
 
20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx20231018.1_RecolerLogicielsApplis_Conference.pptx
20231018.1_RecolerLogicielsApplis_Conference.pptx
 
Le fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MELLe fabuleux destin des archivistes communiquants : les archives de la MEL
Le fabuleux destin des archivistes communiquants : les archives de la MEL
 
Les archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'OrléansLes archives municipales et métropolitaines d'Orléans
Les archives municipales et métropolitaines d'Orléans
 
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
la valorisation des archives sur les réseaux sociaux, l'exemple du CDG24
 
table ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pastable ronde j'archive bien ne t'en fais pas
table ronde j'archive bien ne t'en fais pas
 
20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt20231017_ArchivesWallonie_Conference.ppt
20231017_ArchivesWallonie_Conference.ppt
 
A la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielleA la poursuite de l'intelligence artificielle
A la poursuite de l'intelligence artificielle
 
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx2023_Valenciennes_2023OdysseeTransTer_V2.pptx
2023_Valenciennes_2023OdysseeTransTer_V2.pptx
 
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdfDUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
DUBOIS_Presentation_cyberattaque_Bondy_vf.pdf
 
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdfMEIGNEN_Presentation-AAF-SAE-sécurité.pdf
MEIGNEN_Presentation-AAF-SAE-sécurité.pdf
 
SEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdfSEGURET_presentation_secur_Lyon_seguret.pdf
SEGURET_presentation_secur_Lyon_seguret.pdf
 

Présentation de Stéphanie Foulgoc

  • 1. 24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com RGPD Les nouvelles règles sur les données 30 mars 2018 Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec
  • 2.  France : loi informatique et libertés du 6 janv. 1978 modifiée en 2004 et en 2016  Union européenne : directive n°95/46/CE (transposée dans chaque Etat membre). Abrogée par le RGPD  Règlement européen général sur la protection des données ou RGPD (2016/679) du 27 avril 2016 • Issu d’actions de lobbying sans précédent pendant 6 ans • 173 considérants, 99 articles • Entrée en vigueur au 25 mai 2018 • Est-ce que ce texte est satisfaisant? © Féral-Schuhl / Sainte-Marie Protection des données personnelles : Etat des lieux de la réglementation
  • 3.  Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau national : • pour les données biométrique, génétique et les données de santé • pour consultation préalable des autorités de contrôle pour les traitements qui relève d’une mission de service public • pour les pouvoirs des autorités de contrôle • pour le régime des sanctions autre que les amendes administratives • pour la conciliation avec la liberté d’expression et la liberté d’information • sur le NIR • sur les données traitées dans le cadre des relations de travail • sur les personnes soumises à des obligations de secret • sur le traitement des données de mineurs © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
  • 4.  Une quinzaine de sujets qui doivent faire l’objet d’actes d’application au niveau européen ou national  Au niveau européen : • Pour l’adoption des codes de conduite • Pour les décisions d’adéquation • Pour le BCR • Pour la coopération entre les autorités de contrôle • Pour l’échange d’information entre les autorités de contrôle • Pour la représentation des personnes devant l’autorité de contrôle • Pour la délivrance des certifications  Constat: – Peu probable que l’objectif d’harmonisation soit atteint – Primauté du droit européen, mais pas d’abrogation automatique du droit national  Complexité de la cohabitation des textes et difficultés d’interprétation. © Féral-Schuhl / Sainte-Marie Le RGPD n’est qu’un début…
  • 5. Les principes de la loi de 1978 restent inchangés dans le RGPD  Traitement / Données / Responsable de traitements / Sous-traitant  Information / consentement des intéressés  Finalité licite / pertinence des données collectées  Droit des personnes : accès, rectification, suppression  Durée de conservation  Sécurité des données  Transfert des données à l’étranger
  • 6. Mais des réalités techniques largement ignorées par le RGPD  Cloud computing ignoré : une gestion du transfert des données hors de l’U.E. comme en 1995…  Relations entre fournisseurs et clients : le sous-traitant est souvent plus puissant que le responsable du traitement  Mythe de l’audit et du contrat et de l’audit dans les rapports responsable de traitements / sous-traitant  Réalité de la sécurité des systèmes d’information
  • 7. Nouvelles règles  « Accountability » vs « formalités préalables »  Protection des données dès la conception (« privacy by design ») / (« privacy by default »)  La réalisation d’analyses d’impact  La notification des violations de données personnelles à l’autorité de contrôle)  La nomination d’un DPO  Mettre en place et tenir à jour le registre des traitements  Revoir la gestion de ses sous-traitants (fournisseurs)  Sanctions considérablement augmentées (20 millions d’euros ou 4% du Chiffre d’affaires annuel mondial)
  • 8. Le RGPD : les définitions  Traitement o Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (art. 4.2)  Données à caractère personnel o Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale (art. 4.1) © Feral-Schuhl / Sainte-Marie Avocats
  • 9. Le RGPD : champs d’application Les archives privées et publiques directement concernées lorsqu’elles contiennent des données à caractère personnel: Ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité (art. L. 211-1, Code du Patrimoine) © Feral-Schuhl / Sainte-Marie Avocats
  • 10. Le RGPD : identification des acteurs concernés  Responsable de traitement • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ; … (art. 4.7)  Sous-traitant • La personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite les données pour le compte du responsable de traitement (art. 4.8)  Responsables conjoints de traitement • Lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement (art. 26.1) © Feral-Schuhl / Sainte-Marie Avocats
  • 11. Le RGPD : les principes relatifs au traitement  Licéité, loyauté, transparence  Nouvelle notion  limitation des finalités : les données doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités  Nouvelle notion  minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
  • 12. Le RGPD : les principes relatifs au traitement  Exactitude : les données doivent être exactes et, si nécessaire, tenues à jour  Limitation de la durée de conservation : les données doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées © Feral-Schuhl / Sainte-Marie Avocats
  • 13. Le RGPD : les principes relatifs au traitement  Consentement au traitement  Traitement nécessaire à l’exécution d’un contrat  Traitement nécessaire au respect d’une obligation légale  RGPD et archivage : des objectifs contradictoires © Feral-Schuhl / Sainte-Marie Avocats
  • 14. Protection des données personnelles & Archives  Archives / Protection des données personnelles : des contradictions apparentes  Articulation par le Code du Patrimoine : Lorsque les archives publiques comportent des données à caractère personnel collectées dans le cadre de traitements régis par la loi n°78- 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ces données font l'objet, à l'expiration de la durée prévue au 5°de l'article 6 de ladite loi, d'une sélection pour déterminer les données destinées à être conservées et celles, dépourvues d'utilité administrative ou d'intérêt scientifique, statistique ou historique, destinées à être éliminées (art. L. 212-3).
  • 15. RGPD & Archives  Dérogations prévues par le RGPD au bénéfice des archives Consacre un article aux archives : art. 89 Vise les traitements « à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique, ou à des fins statistiques » • Prévoir des garanties appropriées des droits et libertés de la personne concernée • Possibles dérogations à l’exercice des droits des personnes dans le droit de l’UE ou droit des EM © Feral-Schuhl / Sainte-Marie Avocats 1 2
  • 16. RGPD & Archives  Soumission des traitements à des garanties appropriées pour les droits et libertés de la personne concernée  Comment ? Mise en place de mesures techniques et organisationnelles : • Pour assurer la minimisation • Peuvent comprendre la pseudonymisation, dans la mesure où les finalités du traitement peuvent être atteintes de cette manière. © Feral-Schuhl / Sainte-Marie Avocats 1
  • 17. RGPD & Archives  Dérogations possibles aux droits des personnes à prévoir dans le droit de l’UE ou droit national : • Pour traitement de données à des fins de recherche scientifique ou historique ou à des fins statistiques o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), opposition (art. 21) • Pour traitement de données à des fins archivistiques dans l’intérêt public : o Possibles dérogations : droit d’accès (art. 15), rectification (art. 16), limitation (art. 18), droit de notification (art. 19), droit d’opposition (art. 21) et droit à la portabilité (art. 20) © Feral-Schuhl / Sainte-Marie Avocats 2
  • 18. RGPD & Archives  Autres dérogations :  Autorisation des traitements sur des catégories particulières de données personnelles (art. 9, j)  Droit à l’information (art. 14)  Droit à l’oubli (art. 17)  Archives dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques  sous réserve des conditions et garanties visées à l'article 89 © Feral-Schuhl / Sainte-Marie Avocats
  • 19. RGPD & Archives  Une articulation incomplète • Archives visées par les dérogations (ie archives dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ) : o Quid du consentement ? Le traitement nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ? (art. 6) o Anonymisation ? Pseudonymisation ? • Archives publiques non visées  soumission totale au RGPD • Archives privées non visées soumission totale au RGPD © Feral-Schuhl / Sainte-Marie Avocats
  • 20.  Projet de loi relatif à la protection des données personnelles – décembre 2017 • Adopté par l’Assemblée nationale : 13 février 2018 • Adopté par le Sénat : 21 mars 2018  Lecture et articulation très complexe  Article 12 modifie l’article 36 de la loi Informatique et Libertés © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
  • 21.  Article 12 du projet de loi • Traitements de données à caractère personnel mis en œuvre par les services publics d’archives à des fins archivistiques dans l’intérêt public conformément à l’article L. 211-2 du Code du patrimoine • Les droits d’accès, de rectification, à la limitation, à la portabilité, d’opposition ne s’appliquent pas dans la mesure où ces droits rendent impossible ou entravent sérieusement la réalisation de ces finalités. • Les conditions et garanties appropriées sont déterminées par le Code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique. © Féral-Schuhl / Sainte-Marie RGPD – Transposition en droit national
  • 22. De nouvelles exigences applicables aux archives privées et publiques :  Sécurité des données  Responsabilisation des acteurs (Abandon des formalités, jugées inefficaces) • Principe « d’accountability » : mesures appropriées et effectives + être à même de démontrer la conformité des activités de traitement avec le RGPD, y compris l’efficacité des mesures (Consid. 74) • Registre des activités de traitements : obligatoire sauf entreprise de moins de 250 salariés, sauf traitement susceptible de comporter un risque pour les droits et libertés des personnes concernées ou portant sur données sensibles ou relatives à condamnations pénales / infractions (art. 30) • Privacy by Design / PIA © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
  • 23.  Relations responsable de traitement / sous-traitant • sous-traitant doit présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées afin de garantir le respect du RGPD • sous-traitant ne recrute pas un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale, du responsable du traitement. • contrat avec le sous-traitant doit prévoir un certain nombre d’engagements : agir sur instruction documentée, respect de la confidentialité, droit d’audit du responsable de traitement o code de conduite approuvé ou mécanisme de certification approuvé = élément pour démontrer l'existence des garanties suffisantes o contraintes qui s’ajoutent aux exigences du Code du patrimoine (R.212-19 s.) © Féral-Schuhl / Sainte-Marie RGPD – Les nouveautés?
  • 24.  Désigner le sponsor interne  Dresser la cartographie des traitements  Prioriser les actions de mises à jour : durées de conservation, anonymisation, données sensibles, transferts hors U.E.  Mettre à plat les rapports avec les sous-traitants  Définir les prérequis « privacy by design »  Définir les processus internes pour : la gestion de la confidentialité, la gestion des droits des personnes concernées, la gestion des violations de données  Tenir à jour le registre  Suivre les recommandations de la CNIL à venir © Féral-Schuhl / Sainte-Marie Plan d’action
  • 25. 24 rue Erlanger, 75016 Paris Tél : 33 (0)1 70 71 22 00 - Fax : 33 (0)1 70 71 22 22 - E-mail : sfoulgoc@feral-avocats.com www.feral-avocats.com Stéphanie Foulgoc Avocate aux barreaux de Paris et du Québec Feral-Schuhl / Sainte-Marie